常時SSL対応は必須。新CMS機能とSSL API接続で独自ドメインのさらなる一手を実現
「Google Chrome68」のリリースで、Webサイトの常時SSL化は、すべてのEC事業者にとって必須となりつつあります。その背景や、具体的な対応について、株式会社フューチャーショップ 事業戦略部 部長 安原 貴之氏と、GMOグローバルサイン株式会社 ストラテジックパートナー営業部 マネージャー 中嶋 康章氏にお話を伺いました。
セキュリティ対策の不備は、ECの信頼性を損なう時代に
中嶋 先ごろグーグルがリリースした「Google Chrome68」からは、HTTPS暗号化を導入していないすべてのWebサイトに「Not Secure(保護されていません)」と警告表示されるようになりました。経済産業省や総務省のサイトに警告が表示されたことが話題になり、ご存知の方も多いのではないでしょうか。
こうした、セキュリティ対策を重要視する動きは、ネットが当たり前に使われるようになった現代においては、当然の流れといっても過言ではありません。
特に、ECサイトにおいては、個人情報だけでなく決済情報も扱うわけですから、セキュリティについての対策が、ショップ自体の信頼性につながるものであり、ひいては売上にも大きな影響を及ぼすことになると思います。
そのため、積極的にSSL対応などのセキュリティ施策に取り組むことは、ECの重要な課題になっているといえるのではないでしょうか。
もちろん、カート画面など、実際に個人情報をやりとりするページではSSLを導入しているECサイトがほとんどです。しかし、ブラウザが警告を表示するようになった今、ランディングページを含め、サイト全体が安全で安心にお買い物できると直感的に思ってもらうことが、極めて重要な状況になってきているのです。
いま現在では、非SSL対応のサイトに対して警告表示を可視化しているのは「Google Chrome68」だけですが、Google Chrome68の国内シェアは5割以上で、今後はその他のブラウザにも広がっていくのはでないかと推察され、対応は喫緊の課題になっているといえます。
安原 EC業界自体が急速に成長し、利用者の幅も広がっていますから、セキュリティ意識を高めることは必須です。しかし、"どのように対策すればいいんだろうか?"と機会をうかがうEC事業者様は少なくないのが現状です。
当社は、独自に「セキュリティ・ブック」を作成し、"こういうセキュリティ対策を採ってください"という啓蒙活動を行なっているのですが、さらなるEC事業者様のご協力が必要です。
というのも、当社の『futureshop』は、SaaS型プラットフォームということもあって、先日話題になったトークン決済など、必要なセキュリティ対応はしているのですが、それだけで十分ということではありません。
EC事業者様にもSSL対応を実施いただくことはもちろん、管理者アカウントを個別に分けていただく、CMSをお使いであればバージョンアップするなどをご対応していただく必要があり、セキュリティ対策の推進活動も重要だと考えています。
SSL認証の手続き自体は、比較的簡便に行える
中嶋 SSL自体は、それほど難しいものではありません。具体的な手続きとしては、サイト運営者の方が、直接SSLベンダー(認証局と呼ばれる)に申請するケースもありますが、多くの場合は、フューチャーショップ様のような支援企業を通じて申請されるケースの方が多いです。
安原 当社でも、以前からSSL証明書の申請代行を行っておりまして、昨年からはGMOグローバルサイン様の証明書を主としてご案内しています。
常時SSLが、Webサイトの"当たり前"になりつつある現状
中嶋 今後はサイト全体がSSL対応される「常時SSL」でないと、ユーザーの信頼を得られないということになりかねません。ですから、これからセキュリティ対策としてSSLを導入しようとすれば、"常時SSL"であることが必須になります。
安原 一般的なASPカートの仕組みでは、カートの前までは非SSLで独自ドメイン、カート以降はSSL対応だけれど、ドメインは共用になる、というものでした。しかし、自社ECとしてのブランドイメージを重要視するEC事業者様などの場合、カート以降も独自ドメインにしたいと希望される方がとても多くいらっしゃいます。そして、カート以降も独自ドメインにしようとすると、別途SSLの証明書が必要になり、カート以降も独自ドメインで動作するような仕組みを用意する必要がありました。
『futureshop』をご利用いただくEC事業者様は、ブランドイメージを重視される方が多いので、カート以降も独自ドメインにしたいと希望されるケースは以前からありました。そうしたEC事業者様に対応可能なプランもご用意し、また、"常時SSL"についても、昨年10月の時点で対応をスタートさせていました。
中嶋 SSLの申請から取得までは、早ければ1日程度で完了してしまいます。
安原 ただ、審査自体が最短1日でできるとはいっても、そのための事前の手続きなどが遅滞なくできていることが肝要です。実際の作業は事業者様に手を動かしていただく必要があるので、なんとかこの手間を軽減したいと考えていました。
SSL認証局は、"どこも同じ"というわけではない
中嶋 国内にSSLベンダーはいくつかあります。SSL証明書の違いについては、EC事業者様にはなかなかわからないかもしれません。しかし、"どこで取得しても同じ"ということではありません。やはり、きちんとした認証局の審査を受けなければ、後々に困った事態が発生することもあります。
先日も、あるベンダーが、グーグルから「(このベンダーのものは)有効なSSLと認めない」と公表されたことがありました。認証時の審査方法に問題があるとみなされてしまったようです。こうした場合、SSL証明書自体が無効になり、利用できなくなってしまいますから、そのベンダーから証明書を受けていたサイト運営者は、改めてSSL証明書を取得し直さないといけないという事態になりました。
安原 当社がGMOグローバルサイン様に、パートナーとしての協力を願うようになったのも、まさにこの信用性が大きかったです。
もう一つ、審査にかかる事前手続を軽減できるのも大きなメリットと感じています。SSL認証をAPI連携でスムーズに実行できるという仕組みについても、GMOグローバルサイン様が、かなり早いタイミングで導入されていました。
APIでの申請が可能になると事前手続きの簡素化となり、今後増加する常時SSL対応にはAPI連携が必須と考えていました。
SSL導入の次の一手。ブランディングを実現する『コマースクリエイター』
安原 常時SSL対応の次は、競合との差別化としてサイト全体のデザインやブランディングが求められます。この9月3日から、『コマースクリエイター』という新CMS機能をリリースしました。これは、ECサイトを構成する要素をパーツに分け、パーツを組み合わせることで自由にレイアウトでき、デザインについては全ページ、ほぼ制限がなくなっています。
『futureshop』を利用されているEC事業者様の場合、先ほども触れた通り、ブランドイメージをとても大切にしているので、サイトのデザインカスタマイズについては自由度の高さを求められます。しかし、これまでは制限なしで自由度の高いサイトを構築しようすれば、プラットフォーム全体のカスタマイズ可能なシステムを利用した構築になり、コストも高くなります。そして何より、メンテナンス性が悪くなることが多かったのです。メンテナンス性が悪いということは、機能やセキュリティを最新化できないという弊害も発生してしまいます。
『コマースクリエイター』の大きな特徴のひとつは、機能やセキュリティを含めたシステム全体を最新の状態に保ちながら、サイト構築についての制限がないという点です。
10年以上の運用実績を誇る『Futureshop2』のノウハウを活かし、SaaS型の一番のメリットである更新性を担保しつつ、サイト構築の自由度を極限まで高めました。この技術は特許も申請中であり、これまでにない仕組みとなっています。
さらにいえば、ECの世界は進化が激しいので、よりよいサイトにするためには、頻繁に動線設計やページ修正など、トライアンドエラーを繰り返すことが重要です。「これがいい」と思ったら、とにかくやってみる。そして、効果が上がらなければ、すぐに改修する、というスピード感が大切です。それを低コストで具現化できる点も、『コマースクリエイター』の大きな導入メリットだといえます。
もちろんセキュリティに関しては、GMOグローバルサイン様の証明書をAPIで取得、設置する"常時SSL"に対応。これはEC業界内では画期的な仕組みです。
さらに、コマースクリエイターで構築されたECサイトは、レスポンシブデザインや、クロスデバイス、Googleの構造化データや拡張eコマースにも対応しています。
カートの前も後も、独自ドメインでのSSLを実現
安原 最近弊社へ寄せられるご相談で多いのは、常時SSLにはなったけれど、カートの前は独自ドメインで、カート以降は共用ドメインのままだというケースです。
中嶋 確かに、これであってもサイト全体がSSL対応になっているという意味で、安全ではありますが、ブランドイメージという点では疑問符がつきます。
安原 SSL対応のLPを作ろうとしたら、ドメインが独自ドメインではない、ということを後から知ったというご相談もありました。
消費者にしてみれば、AショップのLPだと思ってアクセスしたのに、ドメインがAショップのものになっていなければ、「これは、フィッシングサイトではないか?」と疑ってしまいます。共用ドメインであるというだけで決してフィッシングサイトだというわけではないのですが、そういう不安を消費者に与えてしまうこと自体がブランドとしてマイナスです。
当社の『コマースクリエイター』をご利用いただければ、こうした懸念もなく、常時SSLを導入していただけます。現に、別のカートASPを使っていたEC事業者様が、こうしたことを理由に『futureshop』に乗り換えるというケースが増えています。
より安全なECサイトを、手間いらずで実現するスキームもさらに高度化する
中嶋 当社としては、まだまだSSLに関しての一般的な認知度が低いと思っていますので、今後は独自のセミナーなども展開して、情報発信・啓蒙活動を推進していきたいと思っています。また、支援企業様との連携も、SSLの普及には不可欠であると考えていますので、フューチャーショップ様との二人三脚で、SSLの普及を加速していきたいと思います。
安原 当社としても、『コマースクリエイター』の開発・導入などにより、EC事業者様のご負担を極力少なくしながら、安全なECサイトの構築・運営ができるよう、さらにサービスをブラッシュアップしていきたいと思っています。
今回もGMOグローバルサイン様と協力し、API連携でのSSL取得・設置ができるようになったことで、EC事業者様の手間を大きく軽減でき、SSL費用も込みの月額料金のため、別で支払う必要がありません。こうした動きも、さらに進めていきたいと思っています。